Bezpečnostní analytici upozorňujú na novú kampaň škodlivých aplikácií pre Android, ktorá je cielene lokalizovaná pre české a slovenské prostredie. Útočníci lákajú na klamlivé reklamy s atrakciou „18+ videí“, no názov a vizuál vedia podľa potreby kedykoľvek zmeniť, pričom technika útoku zostáva rovnaká. Po nainštalovaní prvej aplikácie a po udelení práv už používateľ nad ďalším dianím prakticky stráca kontrolu – a práve tu začína reťaz fáz, ktorá končí pri prázdnom účte.
Po spustení si prvá aplikácia vypýta možnosť inštalovať ďalšie aplikácie, čo je povolenie, ktoré by ste bežnej appke dávať nemali. Následne stiahne a spustí druhú fázu. Tá si vyžiada prístup k službám Prístupnosti (Accessibility), aby mohla vidieť všetko na obrazovke a automaticky na ňu „klikať“. Po udelení práv druhá fáza sama povolí ďalšie oprávnenia, a to zmenu systémových nastavení aj čítanie a úpravu kontaktov a stiahne tretiu, hlavnú časť malvéru určenú na krádeže.
Prečítajte si tiež
V tejto chvíli už prebieha všetko bez zásahu používateľa. Hlavná aplikácia si podľa príkazov z riadiaceho servera zobrazuje vlastný obsah, prekrýva rozhrania a cieli na konkrétne bankové a kryptomenové aplikácie. Cieľom je dostať sa k autorizačným údajom, upraviť limity a zrealizovať prevod, pričom škodlivý softvér fyzicky preklikáva ovládacie prvky, akoby ste telefon držali v ruke vy.
Čo všetko dokáže
Hlavný modul kampane dokáže podľa výskumníkov ovládať aplikácie internetového bankovníctva (aktuálne má podporu aj pre českého Georgea), nastavovať a meniť limity, a zasahovať do práce populárnych krypto peňaženiek, napríklad MetaMask, Trust Wallet, blockchain.com či Phantom. Rozhranie zvládne ovládať v angličtine, ruštine, češtine alebo slovenčine. Súčasne vie otvoriť a obsluhovať WhatsApp či Facebook, upraviť zvukové profily a podsvietenie, a čítať aj meniť text v schránke.
Z technického pohľadu ide o kombináciu špehovania a vzdialeného ovládania. Malvér dokáže zistiť meno používateľa z napojenia na služby Google, nahrávať obrazovku a naživo vysielať jej obsah útočníkovi, posielať SMS (vrátane draho spoplatnených), zamknúť zariadenie a pri odomykaní zachytiť PIN, vzor či heslo. V ďalšej voliteľnej fáze (NFSKate) vie preposielať bezdrôtovú komunikáciu. Ak sa pri telefóne nachádza platobná karta, otvára sa priestor na zneužitie na diaľku.
Takto postavený arzenál umožňuje presvedčivo navodiť legitímne prostredie, donútiť používateľa potvrdiť operáciu, alebo ju vďaka Prístupnosti odklikávať priamo. V kombinácii s úpravou limitov ide o mechanizmus, ktorý dokáže obísť bežné návyky opatrného správania. Šanca odhaliť útok až po odchode peňazí je vysoká.
Ako sa brániť a čo robiť
Pri prevencii treba predovšetkým inštalovať aplikácie z oficiálnych obchodov a mať vypnutú možnosť inštalovať softvér z neznámych zdrojov. Pri žiadostiach o práva je rozumné uplatniť pravidlo minimálnych oprávnení a teda orístupnosť nepovoľovať aplikáciám, ktoré ju objektívne nepotrebujú. Ak si aplikácia pýta priveľa, žiadosť zamietnite a aplikáciu odinštalujte.
Ak ste už naleteli na aplikáciu propagovanú ako „TikTok 18+ – Opravdu krátká videa“, treba konať, hoci ste ju medzitým vymazali. Ovládnutie zariadenia mohlo totiž prejsť na ďalšie fázy. Telefón po incidente obnovte do továrenských nastavení, okamžite zmeňte heslá a prihlasovacie údaje, kontaktujte banku a požiadajte o odporúčania na zabezpečenie účtu. Kryptomeny presuňte na nové, čisté adresy, ideálne do hardvérovej peňaženky. Následne skontrolujte oprávnenia všetkých nainštalovaných aplikácií a nepotrebné vypnite.
Pri pochybnostiach je rozumnejšie stratiť pár minút pri kontrole práv, než neskôr riešiť stratené financie. Útočníci pritom menia návnady rýchlo, no jadro útoku zostáva rovnaké, vynútiť si prístupy, vidieť obrazovku a potom „klikať“ namiesto vás. Stačí jedno neopatrné povolenie a máte obrovský problém.
